Citrix ADC

Mettre à jour le firmware vers la version 2.2 sur une carte FIPS

La version 2.2 du firmware FIPS prend en charge les versions 1.1 et 1.2 du protocole TLS. À partir de la ligne de commande, vous pouvez mettre à jour la version du firmware de la carte FIPS d’une appliance FIPS Citrix ADC MPX 9700/10500/12500/15500 de la version 1.1 à la version 2.2.

Pour une propagation réussie de la clé SIM du primaire au secondaire dans une paire haute disponibilité (HA), la version du firmware Cavium sur chaque appliance doit être identique. Effectuez d’abord la mise à jour du microprogramme sur l’appliance secondaire. S’il est exécuté en premier sur l’appliance principale, le processus de mise à jour de longue durée entraîne un basculement sur incident.

Limitations

  • La renégociation sécurisée est prise en charge uniquement sur les serveurs virtuels SSL et les services SSL frontaux.
  • La création d’une demande de signature de certificat à l’aide d’une clé créée sur la version 1.1 du firmware et mise à jour vers la version 2.2 du firmware échoue.
  • Vous ne pouvez pas créer une clé RSA 1024 bits sur la version 2.2 du firmware. Toutefois, si vous avez importé ou créé une clé FIPS 1024 bits sur la version 1.1 du firmware et que vous mettez ensuite à jour vers la version 2.2 du firmware, vous pouvez utiliser cette clé FIPS sur la version 2.2 du firmware.
  • Seules les clés RSA 2048 bits sont prises en charge.
  • Le certificat client 4096 bits n’est pas pris en charge (si l’authentification client est activée sur le serveur principal).

  • La renégociation sécurisée à l’aide du protocole SSLv3 n’est pas prise en charge.
  • Après la mise à niveau du microprogramme, TLSv1.1 et TLSv1.2 sont désactivés par défaut sur le serveur virtuel, les services internes, frontaux et back-end existants. Pour utiliser TLS 1.1/1.2, vous devez activer explicitement ces protocoles, sur les entités SSL, après la mise à niveau.
  • Les clés FIPS créées dans la version 2.2 du firmware ne sont pas disponibles si vous rétrogradez le firmware vers la version 1.1.

Conditions préalables

Téléchargez les fichiers suivants à partir de la page de téléchargement sur www.citrix.com. Les fichiers doivent être stockés dans le répertoire /var/nsinstall de l’appliance.

  • FW 2.2 Fichier : FW-2.2-130013
  • Fichier de signature FW 2.2 : FW-2.2-130013.Sign

FW-2.2-130013 est la version recommandée du firmware. Il inclut des correctifs pour améliorer DRBG.

Mettre à jour le firmware FIPS vers la version 2.2 sur une appliance autonome

  1. Connectez-vous à l’appliance à l’aide des informations d’identification de l’administrateur.

  2. À l’invite, tapez la commande suivante pour confirmer que la carte FIPS est initialisée.

    show fips
    
    FIPS HSM Info:
    HSM Label       : Citrix ADC FIPS
    Initialization      : FIPS-140-2 Level-2
    HSM Serial Number   : 3.0G1235-ICM000264
    HSM State       : 2
    HSM Model       : NITROX XL CN1620-NFBE
    
    Hardware Version    : 2.0-G
    Firmware Version    : 1.1
    Firmware Release Date   : Jun04,2010
    
    Max FIPS Key Memory : 3996
    Free FIPS Key Memory    : 3992
    Total SRAM Memory   : 467348
    Free SRAM Memory    : 62512
    Total Crypto Cores  : 3
    Enabled Crypto Cores    : 1
    Done
    
  3. Enregistrez la configuration. À l’invite, tapez :

    save config
    
  4. Effectuez la mise à jour. À l’invite, tapez :

    update ssl fips -fipsFW <path to the extracted contents>/CN16XX-NFBE-FW-2.2-1300013
    

    Appuyez sur Y lorsque l’invite suivante s’affiche :

    This command will update compatible version of the FIPS firmware.  You must save the current configuration (saveconfig) before executing this command. You must reboot the system after execution of this command, for the firmware update to take effect. Do you want to continue?(Y/N)Y
    
    Done
    

Remarque : Il suffit de spécifier le fichier du microprogramme, car le fichier de signature du microprogramme est placé au même emplacement.

La mise à jour prend jusqu’à 10 secondes. La commande update est bloquée, ce qui signifie qu’aucune autre action n’est exécutée jusqu’à la fin de la commande. L’invite de commande réapparaît lorsque l’exécution de la commande est terminée.

  1. Redémarrez l’appliance. À l’invite, tapez :

    reboot
    
    Are you sure you want to restart NetScaler (Y/N)? [N]:Y
    
  2. Vérifiez que la mise à jour est réussie. À l’invite, tapez :

    show fips
    

    La version du firmware affichée dans la sortie doit être 2.2. Pa exemple :

    sh fips
        FIPS HSM Info:
            HSM Label       : Citrix ADC FIPS
            Initialization      : FIPS-140-2 Level-2
            HSM Serial Number   : 2.1G1207-IC002429
            HSM State       : 2
            HSM Model       : NITROX XL CN1620-NFBE
    
            Hardware Version    : 2.0-G
            Firmware Version    : 2.2
            Firmware Build         : NFBE-FW-2.2-130013
            Max FIPS Key Memory : 3996
            Free FIPS Key Memory    : 3982
            Total SRAM Memory   : 467348
            Free SRAM Memory    : 50472
            Total Crypto Cores  : 3
            Enabled Crypto Cores    : 1
    Done
    

Mettre à jour le firmware FIPS vers la version 2.2 sur les appliances d’une paire haute disponibilité

  1. Ouvrez une session sur le nœud secondaire et effectuez la mise à jour comme décrit dans « Mettre à jour le firmware FIPS vers la version 2.2 sur une appliance autonome ».

    Forcer le nœud secondaire à devenir principal. À l’invite, tapez :

    force failover
    

    Appuyez sur Y à l’invite de confirmation.

  2. Connectez-vous au nouveau nœud secondaire (ancien nœud principal) et effectuez la mise à jour comme décrit dans « Mettre à jour le firmware FIPS vers la version 2.2 sur une appliance autonome ».

  3. Forcer le nouveau nœud secondaire à redevenir primaire. À l’invite, tapez :

    force failover
    

    Appuyez sur Y à l’invite de confirmation.

Mettre à jour le firmware FIPS vers la version 1.1 sur une appliance autonome

  1. Téléchargez les fichiers nfb_firmware-r1235_100604 et nfb_firmware-r1235_100604.sign dans le même répertoire de l’appliance, à partir de la page de téléchargement sur www.citrix.com.

  2. Connectez-vous à l’appliance à l’aide des informations d’identification de l’administrateur.

  3. À l’invite, tapez :

    update ssl fips -fipsFW /<full path to the file>/nfb_firmware-r1235_100604